難纏的木馬 xwatmaf.exe (rckywlq.exe)

最近發現電腦中了難纏的木馬 - xwatmaf.exe(rckywlq.exe)
目前不知道xwatmaf.exe 這個病毒有何威脅. 論壇上也無任何相關資訊.
拖慢了我電腦的速度，整個讓我很不爽阿！！！！（怒）。

開始發現的時後
是我的木馬防護大師
一偵測到他的執行序就會自動關閉 ＝︿＝|||
NOD 32 smart security 也掃不到。

這個木馬有幾個特殊的行為：
1. 各個資料夾的隱藏檔都可以正常顯示.
唯獨autorun.inf 以及 xwatmaf.exe 不會顯示出來.
必須進入dos mode打 dir /a 才會顯示

2. 無法重新開機進入安全模式.
重開機按F8, 選安全模式的時候.
他會自動跑出一個要你選作業系統的選項(應該是假造出來的).
原先應該是點安全模式就會進入, 現在多了一個選擇作業系統的選項,
點完就會重新開機.

3. 無法使用DOS開機片刪除.
使用DOS開機片開機以後. 會看不見系統槽C.
(懷疑也有可能是NTFS格式的關係)

4.被感染的應用程式會有異常的行為
（如：特定網頁無法開啟、應用程式莫名其妙的結束）


如何檢查自己有無中此木馬:
1. 開始=>執行 , 打入 cmd (按確定)

2. 進入c槽根目錄, 打入 cd\ (按確定)

3. 查詢所有檔案 dir /a/p (按確定)

4. 檢查自己有無autorun.inf, 以及奇怪的exe檔.
以這個木馬為例則是 xwatmaf.exe

5. 或者可以直接打開windows工作管理員
工作列點選右鍵->工作管理員->處理程序
看一下有沒有叫xwatmaf、rckywlq的兩個執行序程序。

以下為掃除木馬的方法感謝yao協助，下載trojan remove
http://www.simplysup.com/tremover/download.html

安裝以後執行掃描，會發現這個木馬將自己藏在無數個exe檔中執行
將每一個被感染的項目disable，之後選擇重新開機。
重新開機以後此時已經將木馬從系統中移除了。

但接著要將您的所有隨身裝置都檢查有無藏木馬
請用dos模式進入到每一個槽
請記得這時候插入每個裝置的時候都要選擇"不做動作"
並且不能開啟"檔案管理員"
進行以下的指令。

首先進入dos模式，動作如下：
開始=>執行 , 打入 cmd (按確定)
Ex: g槽

g:
attrib -h -s xwatmaf.exe
del xwatmaf.exe

attrib -h -s autorun.inf
del autorun.inf

修改自BLOG『小叮噹暢遊大自然』
「難纏的木馬 xwatmaf.exe (rckywlq.exe)(內含解決方式)」一文